Positive Technologies
28.4K subscribers
3.2K photos
408 videos
2.4K links
Уже более 20 лет наша основная задача — предотвращать хакерские атаки до того, как они причинят неприемлемый ущерб бизнесу и целым странам.

Регистрация в перечне РКН: https://knd.gov.ru/license?id=673b47eab7aeb106ceff4f97&registryType=bloggersPermission
Download Telegram
Media is too big
VIEW IN TELEGRAM
🤝 Подружили науку и кибербез

А случилось это на конкурсе «Разработка моделей прогнозирования и оценки последствий кибератак», который мы проводили вместе с Институтом мировой военной экономики и стратегии НИУ ВШЭ.

Участники научным методом решали важную для кибербеза проблему. А именно — искали подход, позволяющий оценить влияние кибератак на все сферы, которые они затрагивают: бизнес-процессы, экономику, общественные отношения, устойчивость государственных систем и другие.

Защита проектов прошла 22 июня, собственные варианты систем оценки представили конкурсанты из ведущих вузов страны. Все их оценивал экспертный совет, состоящий из представителей индустрии кибербезопасности, органов государственной власти и научного сообщества.

Победу одержали команды молодых ученых из Военно-космической академии имени Можайского, НИУ ВШЭ и университета «Сириус».

Тройка лидеров поровну разделила грант в 3 млн рублей и продолжит свои разработки под руководством наставников. Мы надеемся, что однажды созданный кем-то из них подход станет единым для всей индустрии (по крайней мере, глобальная цель была такой 😉).

По словам Евгения Гнедина, директора по кибераналитике Positive Technologies, все три выигравшие работы — это кирпичики, которые ложатся в основу решения одной общей для отрасли проблемы. Для него одинаково важны вопросы оценки каскадных последствий киберинцидентов, эффективности инвестиций в защиту и прогнозирования угроз.

Для нас конкурс — не только стремление привнести новое в индустрию, но и продолжение работы по поддержке молодых талантов, наряду с проведением кибербитвы Standoff и подготовкой реверс-инженеров вместе с МФТИ.

@Positive_Technologies
🔥19🫡9🐳533
Вы наверняка слышали про уголь

Это такая штука, которой отапливают дома, питают производства и периодически напоминают, что человечество все еще любит жечь древние растения 😐

А есть компания «Русский Уголь» — она добывает уголь в Амурской области, Хакасии, Красноярском крае, Кузбассе и поставляет его в 60 регионов страны и на экспорт.

То есть угля там много. А еще там много серверов, компьютеров, систем и бизнес-процессов. Потому что даже уголь в XXI веке сам себя не добудет и не доставит.

И все эти процессы очень желательно не ломать. Особенно злоумышленникам.

Поэтому «Русский Уголь» использует PT Dephaze 😈

Это наш автопентест для оценки защищенности. Он действует как хакер — только работает на вашей стороне и под полным контролем.

Инструмент проверяет внутреннюю инфраструктуру компании, ищет возможные пути атак, доказывает, какими уязвимостями или ошибочными настройками можно воспользоваться, оценивает эффективность средств защиты — и показывает, что именно стоит исправить, прежде чем это найдет кто-то менее дружелюбный.

За последний год с его помощью «Русский Уголь» провел более 20 автоматизированных проверок. И схема работы оказалась удивительно простой:

нашли проблему → исправили проблему → все (после важных обновлений запустили снова)

Раньше такие проверки проводили вручную внешними специалистами примерно раз в год. Теперь компания делает это чаще и своими силами, отслеживая изменения внутри инфраструктуры и их влияние на безопасность.

А зачем? 🧐

По нашим данным, на топливно-энергетический комплекс приходится 22% всех атак на промышленность — это много.

И полезно заранее проверять, насколько ваш бизнес может стать легкой мишенью для атаки (как у нас любят напоминать: чтобы спастись от медведя — достаточно бежать не последним).

Злоумышленники обычно не предупреждают, когда придут. А так — вы сами позвали хакера в гости и сидите защищенные и довольные ☕️

Официальные длинные подробности про эту историю успеха — тут.

#PTDephaze
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥27👍15🐳85🫡55
Мы помогли Apple устранить уязвимость в ядре ее операционных систем

Специалист PT ESC Владислав Шевченко обнаружил недостаток, который из непривилегированного контекста мог привести к сбою и повреждению памяти ядра (kernel memory corruption) в macOS, iOS и iPadOS. В перспективе такое повреждение может использоваться для повышения привилегий.

⚠️ Уязвимость PT-2026-53696 (CVE-2026-39868) получила высокий уровень критичности — 7.0 по шкале CVSS 4.0. Apple уже выпустила исправление (детали по macOS — здесь, а по iOS и iPadOS — тут).

Делимся подробностями

Ошибка была связана с подсистемой DTrace и обработкой формата DOF (DTrace Object Format), который используется для описания событий трассировки системы — механизма наблюдения за тем, как работает ОС в реальном времени.

Локальный непривилегированный пользователь мог сформировать специально подготовленный DOF и передать его через /dev/dtracehelper. Из-за отложенной обработки он попадал в ядро позже и уже в другом контексте, что усложняло проверку.

При дальнейшей обработке в привилегированном режиме (при открытии /dev/dtrace с помощью уязвимости confused deputy в одном из системных сервисов) ядро должно было валидировать входные данные. Но из-за ошибок часть проверок оказалась недостаточной, включая проверку границ и отдельных параметров. Это позволяло значениям, контролируемым злоумышленником, выходить за пределы выделенной памяти.

В результате происходило повреждение памяти ядра, которое потенциально могло быть использовано для повышения привилегий.

🤔 Владислав отметил, что изначально считалось, что подобную уязвимость невозможно эксплуатировать из непривилегированного контекста. Однако в ходе дополнительного исследования был найден способ вызвать ее от имени обычного пользователя — «иногда уязвимостям надо давать второй шанс».

@Positive_Technologies
🔥5825👍161
Пока вы в отпуске или пытаетесь выспаться, ИИ-агент ломает ваше мобильное приложение

И это не страшилка: сегодня для проведения атаки не нужны долгая подготовка и кропотливая работа взломщика-профи — достаточно оформить подписку на ИИ-агента, от которого не защитит даже хитровывернутый фреймворк.

Что с этим делать? Менять методы защиты. Как именно, расскажем на вебинаре 2 июля в 14:00.

1️⃣ Поговорим об изменениях в реверс-инжиниринге в целом и отдельно об агентском реверсе: что он умеет хорошо, а где пока буксует.

2️⃣ Обсудим, сколько времени и ресурсов нужно, чтобы взломать приложение, и как вовремя остановить связку «агент + человек», пока они не добрались до вашего прода.

3️⃣ В прямом эфире покажем, как ИИ-агент атакует одно и то же тестовое приложение — без защиты и в броне от PT MAZE.

Регистрируйтесь, смотрите, слушайте и делайте выводы.

#PTMAZE
@Positive_Technologies
👍149🔥9🍾1
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥23🤯1211🫡4👍2🐳2🗿1
💪 РАНХиГС выстраивает проактивную защиту от киберугроз на базе продуктов Позитива

Российская академия народного хозяйства и государственной службы при Президенте РФ — лакомый кусочек для злоумышленников, поскольку это одновременно и государственное учреждение, и научное, а они занимают второе и седьмое места в списке приоритетных целей злоумышленников (по нашим данным за 2025 год).

Поэтому РАНХиГС последовательно развивает систему защиты своей ИТ-инфраструктуры. Сейчас проактивный процесс управления киберугрозами в вузе построен на базе MaxPatrol VM и MaxPatrol Carbon.

👾 С нашей системой управления уязвимостями академия успешно работает вот уже больше двух лет. MaxPatrol VM стабильно обеспечивает сканирование активов в распределенной инфраструктуре с более чем 50 филиалами, оперативно обнаруживая недостатки безопасности во всей инфраструктуре.

💠 Для усиления защищенности в конце 2025 года РАНХиГС внедрила MaxPatrol Carbon, который выявляет и приоритизирует все источники угроз, комбинируя которые злоумышленники могут реализовать недопустимые события. Продукт моделирует потенциальные маршруты кибератак на критически важные активы вуза, находит, через какие недостатки безопасности по ним можно пройти, и дает рекомендации по их устранению.

«Понимание возможных действий злоумышленника в нашей инфраструктуре помогает команде ИБ не теряться в большом объеме уязвимостей и других недостатков, а четко видеть, какие из них действительно лежат на пути к критическим системам и требуют первоочередного устранения», — отметил Илья Яблоков, директор по информационной безопасности РАНХиГС.


🤝 Так связка MaxPatrol VM и MaxPatrol Carbon позволяет проактивно снижать риски и укрепляет киберустойчивость академии, делая кибератаки неоправданно сложными и ресурсозатратными для злоумышленников.

#MaxPatrolVM #MaxPatrolCarbon
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
17🍾8👍5🫡2
This media is not supported in your browser
VIEW IN TELEGRAM
🐻 Как бизнесу убегать от «медведя» 🏃‍♂️

«Не обязательно бежать первым, главное — не последним», — посоветовал наш управляющий директор Алексей Новиков на «Альфа-Саммите» в Новосибирске.

Не то чтобы в Сибири медведи действительно угрожали предпринимателям. Нападение хищника — это метафора о том, что жертвами кибератак все чаще становятся не корпорации и промышленные гиганты, которые «бегут первыми», а компании с небольшим оборотом и минимальной киберзащитой. И здесь как раз важно быть защищеннее большинства в своей отрасли.

О том, как этого добиться уже сейчас, — в краткой выжимке ответов и советов от Алексея.

🔮 Вероятность инцидентов

Она стопроцентная, если в вашей инфраструктуре есть недостатки (например, отсутствует второй фактор на периметре). Вопрос только в том, заметите ли вы проблему вовремя, насколько критичной она окажется для бизнеса и во сколько в итоге обойдется инцидент.

Мы расследовали случаи, когда компании были скомпрометированы полтора года назад: злоумышленники проникали в инфраструктуру, оставляли бэкдор — условную «закладку» — чтобы позже вернуться, зашифровать данные и потребовать выкуп. И это реальность современной жизни.

🛡 Что нужно защищать

Чтобы ответить на этот вопрос, необходимо понимать, от какого цифрового процесса больше всего зависит ваш бизнес. Для электронной коммерции критично, чтобы бесперебойно работали онлайн-площадки, для промышленности — автоматизированные производственные линии, для логистики — система управления перевозками и так далее.

А дальше необходимо выстраивать эшелонированную защиту так, чтобы этот процесс оставался непрерывным.

🌟 Сколько тратить на кибербез

Здесь все почти как со здоровьем: если с определенного возраста ежегодно проходить чекапы и сразу устранять проблемы, можно обойтись небольшими расходами и предотвратить серьезные последствия. А если впервые прийти на осмотр в 75 лет, то и денег на обследования и лечение потребуется гораздо больше.

Кроме того, важен принцип secure by design: создавать ИТ-инфраструктуру сразу с учетом требований кибербезопасности гораздо дешевле, чем потом «навешивать» средства защиты поверх.

🧮 Оценка инвестиций

Еще один простой тезис с точки зрения инвестиций: выясните, сколько денег и времени потребуется, чтобы вас действительно взломать, и устраивает ли вас такой уровень защиты. Узнать ответ можно с помощью кибериспытаний — для этого важно определить события, недопустимые для бизнеса (остановка производственной линии, недоступность сайта, хищение данных клиентов и т. д.), а затем поручить белым хакерам попробовать их реализовать. Кстати, клиенты нашего продукта PT X проверяют так свою защищенность.

Это своеобразный «градусник», который помогает понять, какой бюджет потребуется на «лечение». Например, большинство банков сегодня защищены настолько хорошо, что для их взлома приходится разрабатывать новые уязвимости специально под конкретную инфраструктуру — это колоссальные трудозатраты, а стоимость одного такого Zero Day на теневом рынке может исчисляться миллионами долларов.

Если же ответ звучит как «проникнуть в компанию можно за 500 тысяч рублей и 29 минут», — это плохие новости: в защиту придется серьезно вложиться.

🩵 Что делать, если инцидент уже случился

Правильная стратегия — заранее иметь четкий план действий на такой случай. Причем он должен охватывать не только восстановление ИТ-инфраструктуры и бизнес-процессов. В нем должны быть задействованы ИТ, ИБ, финансисты, юристы и, конечно, PR.

Ситуация, когда компания заявляет: «У нас технические неполадки, поэтому сайт не работает», а факт киберинцидента признает лишь после того, как злоумышленники выставляют похищенные данные на продажу, наносит репутации феноменальный ущерб.

🏃‍♂️ Почему важно не быть последним

Важно понимать, что злоумышленники — очень эффективные менеджеры. Они всегда считают, сколько будет стоить атака и что принесет результат. И здесь работает та самая пословица: чтобы спастись от медведя, необязательно бежать первым — достаточно не быть последним: злоумышленники просто выберут другую, более простую цель.

@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
15👍13🔥11
Как использовать возможности MaxPatrol Endpoint Security 10.0 по максимуму

Не так давно мы выкатили, пожалуй, одно из самых масштабных обновлений нашего решения, в которое в том числе вошел новый модуль «АнтиШифровальщик» для сохранения и восстановления данных даже в случае атаки.

А на вебинаре 9 июля в 14:00 готовы рассказать о релизе подробнее, показать, какие проблемы помогают решать новые фичи и как они облегчают работу безопасников.

▶️ Например, обновления позволяют быстрее интегрировать решение в инфраструктуру компании благодаря быстрой настройке политик и возможности установки агентов всего за один день. Да, теперь так можно.

🔒 Мы уже упомянули «АнтиШифровальщик», а на вебинаре продемонстрируем, как он восстанавливает данные, поврежденные или удаленные программой-шифровальщиком, без всякого выкупа.

💪 Еще обсудим усиление превентивной защиты за счет контроля устройств и приложений, а также возможность интеграции MaxPatrol Endpoint Security с PT NAD для сдерживания сетевых угроз без выхода из интерфейса продукта.

И это, конечно, далеко не все, что мы для вас приготовили. Поэтому запасайтесь вопросами, регистрируйтесь заранее и подключайтесь к нашему прямому эфиру.

@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
8🔥5🐳4👍1
🤝 Можно ли эффективно строить кибербез, если CEO и CISO говорят на разных языках или вовсе не слышат друг друга?

Как показало исследование, которое мы провели вместе с The Edgers и SuperJob, только четверть руководителей высоко оценивают компетенции своих директоров по ИБ. А остальные говорят, что тем не хватает управленческих навыков и понимания бизнеса, который они должны защищать.

Вот и получается, что первые лица компании, которые должны определять, какие киберриски нельзя допускать ни в коем случае, этого не делают. А CISO почти не принимают участия в обсуждении стратегических целей компании. В итоге вместо симбиоза выходит недопонимание.

Выход — научить CISO говорить на языке бизнеса и понимать его нужды. Однако большинство программ для директоров по ИБ больше технические, чем бизнесовые. Мы решили переломить эту ситуацию и создали актуальный практикум, выстроенный вокруг развития управленческих и бизнес-компетенций, — «CISO 3.0: управление на уровне бизнеса».

Очная программа стартует в Москве 11 сентября. За восемь недель обучения участники пройдут три больших модуля: «Кибербезопасность и бизнес: стратегическая функция и результаты», «Бизнес-мышление: стратегии, экономика и коммуникации», «Организационный дизайн и управление изменениями». В каждом — практика с действующими экспертами по ИБ, нетворкинг-сессии и разбор кейсов.

Основная задача — вывести работу CISO за пределы технологического контура: научиться определять недопустимые для бизнеса события, оценивать финансовые показатели, обосновывать инвестиции в кибербез, управлять антикризисными коммуникациями и изменениями, вести переговоры с C-level. На выходе каждому предстоит защитить собственную стратегию кибербезопасности перед экспертами и руководителями отрасли.

Рассчитываем, что благодаря этому практикуму, CEO и CISO станет проще понимать друг друга и работать на общий результат, учитывающий задачи как бизнеса, так и кибербезопасности. Ищите подробности на сайте Positive Education.

#PositiveEducation
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
13👍10🔥10🗿1
Быстрее. Проще. Точнее.
MaxPatrol Carbon 26.2

Запустили новый релиз нашей интеллектуальной системы проактивного управления киберустойчивостью, которая моделирует пути атак, подсвечивает слабые места и помогает закрывать их еще до того, как туда дойдут руки злоумышленников.

Цель проста: сделать атаку настолько дорогой и сложной, чтобы злоумышленникам было выгоднее просто закрыть ноут и пойти пить кофе.

Что нового в версии 26.2:

🏎 В 20 раз быстрее считаем маршруты атак. Оптимизировали граф атак и алгоритмы расчета — теперь можно оперативно смотреть, как меняется защищенность, и анализировать большие и сложные инфраструктуры.

🥷 Покрытие MITRE ATT&CK выросло до 81%. Добавили еще больше техник и тактик: от банального подбора паролей до компрометации Active Directory через захват центра сертификации. Плюс система научилась моделировать компрометацию серверов управления конечными устройствами — сценариев стало больше, от самых простых до самых сложных.

😐 Упростили жизнь пользователям. Сделали быстрее и понятнее первичную настройку точек входа атакующих. Теперь не обязательно помнить синтаксис запросов — достаточно задать параметры в поиске и выбрать подходящий вариант из списка.

🖥 Обновили интерфейс и дашборды. Переписали страницу рекомендаций, чтобы проще расставлять приоритеты и закрывать источники угроз. Добавили дашборд «Инфраструктура» — единое окно, где видно потенциальную площадь атаки, качество аудита и полноту данных по активам.

Подробности о новой версии — в материале на нашем сайте 💠

#MaxPatrolCarbon
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥199👍7🤯1🐳1🗿1
😎 Как наши эксперты спасли слона

Это не кликбейт и не выдумка. Слон по имени ElePHPant вот уже больше 25 лет является неофициальным символом PHP — одного из популярных мировых языков программирования. Именно в нем нашли и помогли устранить две опасных уязвимости эксперты PT SWARM Алексей Соловьев и Никита Свешников.

Если посчитать, PHP и правда тот еще слоняра, — держит на своих плечах 5,2 млн проектов на GitHub, архитектуру многих известных маркетплейсов, популярную у ретейлеров e-сommerce-платформу Magento 2, а еще — CMS-системы WordPress и Drupal, на которых работает большинство сайтов в глобальной сети. Только в России таких ресурсов больше 1,8 млн, и каждый из них оказался под угрозой.

Что произошло

Разве можно взломать целый язык программирования? Оказалось, что да. Причем, такие уязвимости куда опаснее дефектов в отдельном продукте, ведь пострадать могли миллионы систем на основе PHP по всему миру — от публичных веб-ресурсов до внутренних автоматизированных скриптов и серверных утилит.

Бреши обнаружены в расширении PDO (PHP Data Objects) и драйвере pdo_firebird — ключевом механизме, который отвечает за безопасное взаимодействие приложений с базами данных, в нашем случае — PostgreSQL и Firebird. По иронии судьбы, именно эти компоненты были созданы в том числе и для защиты от SQL-инъекций, но сами оказались уязвимыми.

Учитывая, что PostgreSQL в 2025 году была самой распространенной СУБД в мире, возможный сбой потребовал бы не только времени и вложений на восстановление процессов, но и стал бы сильным ударом по репутации сервиса.


Делимся подробностями

1️⃣ В первом случае нарушители могли бы зайти через недостаток безопасности PT-2026-39443 (CVE-2025-14179) в драйвере pdo_firebird, который нужен для подключения PHP к системе управления базами данных Firebird.

Из-за недостаточно корректной обработки NUL-байта (\x00) на этапе подготовки запроса появлялась возможность внедрить произвольный SQL-код. В итоге атакующий получал возможность выполнять любые деструктивные операции с базой данных — от скрытого чтения конфиденциальных таблиц до их модификации или полного удаления. Дальше, в зависимости от архитектуры системы, были возможны захват панели администратора, компрометация персональных данных и даже полный контроль над серверной инфраструктурой.

2️⃣ Используя уязвимость PT-2025-52599 (CVE-2025-14180), злоумышленники могли бы добиться завершения процесса PHP на уровне операционной системы. Брешь возникает при работе PHP с СУБД PostgreSQL в режиме эмуляции запросов. Один из примеров ее потенциальной эксплуатации — абстрактный интернет-магазин, в который разработчики забыли добавить поддержку транзакций при выполнении важных операций с СУБД. На любом из этапов мог произойти сбой и смерть процесса, которая привела бы к десинхронизации данных.

Например, при заказе вместо нормального адреса доставки в текстовом поле передавались бы поврежденные символы. Сайт не смог бы нормально их обработать из-за поломки механизма PHP, а операционная система мгновенно завершила бы этот процесс. Что в итоге? Деньги списаны, а вот физически создать заказ, оформить накладные и отправить купленную вещь на склад и в доставку сервис из-за ошибки не успел бы. Финалом такой истории могли бы быть долгие разбирательства с заказчиками и пострадавшая репутация.

К счастью, все это гипотетические вероятности, которые не случатся. Мы уведомили об опасности команду разработки PHP, которая уже выпустила обновления. Так что просто обновите версию языка до актуальной, чтобы устранить ошибки.

#PositiveЭксперты
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥13👍8🍾53🫡3
👽 Разработчики — одна из самых выгодных целей для злоумышленников (сразу после сотрудников, любящих пароли 1234 и переходящих по всем ссылкам в письмах).

Удивляться тут нечему, ведь именно у разработчиков есть доступ ко многим внутренним инструментам (например, GitLab, тестовым и продуктовым средам, артефакториям), кодовой базе компании, непубличной проектной документации и другим ресурсам, ценным для киберпреступников.

Кроме того, их учетками очень удобно прикрываться при атаке. Потому что бухгалтер или маркетолог вряд ли будет экспериментировать с новыми библиотеками и инструментами или запускать сторонний код, а разработчик — запросто!

☺️ Чтобы уменьшить риски, Станислав Раковский, руководитель группы Supply Chain Security департамента киберразведки PT ESC, написал статью о кибергигиене для тех, кто кодит и тестит. Ее уже можно прочитать на сайте Positive Research.

В ней — все шокирующие подробности: портреты потенциальных злоумышленников, их инструменты, цели, точки входа, типы атак и методы маскировки. А также самое главное — технические и организационные способы защиты: от карантина и управления доступами до обычной внимательности.

Читайте и мойте руки перед едой не забывайте о кибергигиене.

#PositiveЭксперты #PositiveResearch
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥97🐳3
Forwarded from ESCalator
CloudAtlas: новая волна кибератак на организации в России и Ираке с использованием цепочек легитимных веб-ресурсов

В мае 2026 года департамент Threat Intelligence экспертного центра безопасности Positive Technologies выявил новую кампанию APT-группировки CloudAtlas. Под удар попали российские организации энергетического, оборонно-промышленного и транспортного секторов, преимущественно расположенные на территории Крымского полуострова.

📄 Группировка использовала документы Microsoft Office, вредоносные шаблоны которых загружались со скомпрометированных легитимных ресурсов в национальных доменных зонах Бразилии, Аргентины и Индонезии. Об использовании данной техники группа киберразведки PT ESC сообщала ранее в исследовании связи группировки CloudAtlas с брокером первоначального доступа Mustard Tempest.

Открытие документов приводило к запуску многоступенчатой цепочки HTA- и VBS-компонентов, извлекавших закодированный VBS-код лоадера из JFM-файла. На финальном этапе разворачивались загрузчики VBShower и PowerCloud, использующие Google Sheets в качестве канала связи с C2. Отдельный VBS-скрипт очищал следы компрометации.

🚂🚃👾🚃🚃 Ключевым новшеством кампании стало использование цепочек из легитимных ресурсов, выступавших транспортным слоем для доставки полезной нагрузки. Вместо прямых HTTP-запросов к скомпрометированным веб-ресурсам группировка использовала oEmbed-запросы для доставки полезной нагрузки через промежуточные легитимные WordPress-сайты с открытыми API-эндпоинтами. Данная техника позволила маскировать сетевые соединения под легитимный трафик и усложнить сигнатурное детектирование.

[LEGITIMATE_DOMAIN]/?wp-json/oembed/1.0/embed/url=[COMPROMISED_DOMAIN_URL]


Для эксфильтрации сведений о пользователе и домене скомпрометированного хоста группировка использовала HTTP-заголовок User-Agent в сетевых соединениях с C2.

Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 ([USERDOMAIN], like [USERNAME]) Chrome/141.0.0.0 Safari/537.36 Edg/141.0.3405.86


Еще одной особенностью кампании стала ее географическая направленность: часть использованных документов по внешним признакам предназначена для аудитории из Ирака, что является нетипичной географией кибератак для группировки CloudAtlas.

👉 Подробнее — в исследовании на нашем сайте и в блоге на Хабре.

#TI #APT #CloudAtlas
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6🔥63🐳1